Threat Database Backdoors More_eggs Malware

More_eggs Malware

More_eggs恶意软件是一种复杂的后门Trojan威胁,已通过MaaS(恶意软件即服务)方案提供。威胁的开发者被认为是Golden Chickens黑客组织,他们已经能够吸引FIN6,Evilnum和Cobalt Group等几个主要的APT(高级持久威胁)组织作为客户。 More_eggs的恶意功能使威胁几乎始终未被发现,同时允许特定的黑客组织通过根据其特定目标下载不同的最终阶段恶意软件有效负载来升级攻击。

假工作机会电子邮件传播更多_鸡蛋后门

在more_eggs攻击活动中,最初的危害向量通常是带有武器化文件附件的定向鱼叉式网络钓鱼电子邮件。 eSentire的研究团队发现了涉及此后门威胁的最新操作。根据他们的发现,一个迄今未明身份的黑客组织已开始以提供虚假工作机会的高级员工为目标。电子邮件中附带的恶意zip文件是根据特定目标的LinkedIn个人资料中的工作职位来命名的。例如,如果所选用户的工作在LinkedIn上列为“高级产品经理”,则该zip文件将采用准确的措词,并在其中添加“职位”-“高级产品经理-职位”。打开档案将启动无文件more_eggs木马的安装过程。

攻击链

more_eggs的安装过程分为多个阶段和几个中间加载程序。第一步,受害人通过与通过鱼叉式电子邮件发送的文件进行交互,实际上运行了VenomLNK,这是more_eggs木马的初始阶段。 VenomLNK滥用Windows Management Instrumentation来启用名为TerraLoader的下一阶段插件加载程序。反过来,TerraLoader劫持了合法的Windows进程cmstpregsvr32 。为了掩盖后台进行的邪恶活动,此时,威胁向受害者提供了诱饵的Word文档,该文档旨在显示为合法的工作应用程序。同时,TerraLoader通过在目标用户的漫游配置文件中安装msxsl来继续其任务,并从从Amazon Web Services获取的ActiveX控件文件中加载名为TerraPreter的新有效负载。

攻击的下一阶段是看到新建立的TerraPreter有效载荷开始通过武器化的mxsxl副本向命令与控制(C2,C&C)服务器发送信标。信标会向威胁行为者发出警报,告知more_eggs已在受害者的系统上完全建立,并可以继续进行操作。然后,黑客可以指示威胁下载并执行勒索软件和信息窃取程序等最终阶段的有效负载,或开始泄露敏感的用户数据。

以前的More_eggs广告系列

more_eggs的避免检测技术,例如对本机Windows进程的利用以及多种功能,已帮助Golden Chickens吸引了多个ATP黑客组织作为客户端。 Infosec研究人员已经看到FIN6,Evilnum和Cobalt Group正在使用后门威胁。尽管这三者都可以说是针对金融行业的公司,但它们的运作却大不相同。 FIN6专门从事盗窃支付卡数据的工作,这些数据随后在地下交易平台上出售。他们的主要目标是POS(销售点)设备和电子商务公司。另一方面,Evilnum紧追金融技术公司和股票交易平台提供商。它们通过窃取电子表格,客户列表,交易操作和帐户凭据来确定有关渗透公司及其客户的敏感私人信息。 Cobalt Group还以金融公司为目标,到目前为止,它已在多个业务中使用more_eggs。

趋势

最受关注

正在加载...